(12) NACH DEM VERTRAG UBER DIE INTERNATIONALE ZUSAMMEN ARBEIT AUF DEM GEBIET DES 
PATENTWESENS (PCT) VEROFFENTLICHTE INTERNATIONALE ANMELDUNG 



(19) Weltorganisation fur geistiges Eigentum 
Internationales Biiro 

(43) Internationales Veroffentlichungsdatum 
1. September 2005 (01.09.2005) 




PCT 



IIH 

(10) Internationale Veroffentlichungsnummer 

WO 2005/081089 Al 



(51) Internationale Patentklassifikation 7 : G06F 1/00 

(21) Internationales Aktenzeichen: PCT/EP2005/001817 

(22) Internationales Anmeldedatum: 

22. Februar 2005 (22.02.2005) 



(25) Einreichungssprache: 

(26) Veroffentlichungssprache: 



Deutsch 
Deutsch 



(30) Angaben zur Prioritat: 

10 2004 009 065.3 

23 . Februar 2004 (23 .02.2004) DE 



(71) Anmelder und 

(72) Erfinder: KISTNER, Stefan [DE/DE] ; Kolner Strasse 
132, 53840 Troisdorf (DE). 

(74) Anwalt: COHAUSZ DAWIDOWICZ HANNIG & 
PARTNER; Schumannstrasse. 97-99, 40237 Dusseldorf 
(DE). 

(81) Bestimmungsstaaten (soweit nicht anders angegeben, fur 
jede verfiigbare nationale Schutzrechtsart): AE, AG, AL, 
AM, AT, AU, AZ, BA, BB, BG, BR, BW, BY, BZ, CA, CH, 
CN, CO, CR, CU, CZ, DK, DM, DZ, EC, EE, EG, ES, FT, 
GB, GD, GE, GH, GM, HR, HU, ID, IL, IN, IS, JP, KE, 
KG, KP, KR, KZ, LC, LK, LR, LS, LT, LU, LV, MA, MD, 

[Fortsetzung aufder ndchsten Seite] 



(54) Title: METHOD FOR PROTECTING CONFIDENTIAL DATA 

(54) Bezeichnung: VERFAHREN ZUM SCHUTZEN VON VERTRAULICHEN DATEN 



ON 

00 



00 




2&o 



\ 



Ada 



CO 



106 ... KEY PREPARATION 

103 ... FILE SYSTEM(S) 
102 ... MEMORY MANAGER 
105 ... EN -/DECRYPTION 
101 ... CACHE MANAGER 

104 ... STORAGE MEDIA 
AA ... USER MODE 

BB ... KERNEL MODE 



der getroffenen Klassifikation, ob eine Verschliissung der elektronisch gespeicherten 



(57) Abstract: The invention concerns 
a method for preventing the loss of 
confidentiality of data electronically 
stored in a computer system, comprising 
the following steps: analyzing the 
protocol and the data flow from and to 
data carriers and/or peripheral devices; 
forming a classification, particularly for 
differentiating between non-exchangeable 
and exchangeable data carriers; 
determining, according to the encountered 
classification, whether an encryption of the 
electronically stored data is required for 
preventing the loss of confidentiality of the 
data and, according to this determination; 
optionally supplementing the file system 
on an exchangeable data carrier with a 
cryptographic encryption and/or carrying 
out a cryptographic encryption of all or 
several of the blocks of the exchangeable 
data carrier. 

(57) Zusammenfassung: Verfahren zur 
Nerhinderang des Verlustes der Vertrau- 
lichkeit der in einem Computersystem 
elektronisch gespeicherten Daten mit den 
Schritten: - Analyse des Protokolis und 
des Datenstromes von und zu Datentragern 
und/oder Peripheriegeraten; - Bildung 
einer Klassifikation, insbesondere 
zur Unterscheidung zwischen nicht 
wechselbaren sowie wechselbaren 
Datentragern - Festlegung in Abhangigkeit 
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Daten zur Verhinderung des Verlustes der Vertraulichkeit der Daten erforderlich ist und in Abhangigkeit dieser Festlegung gegeben- 
falls - Erganzen des Dateisystems auf einem wechselbaren Datentrager urn eine krypografische Verschliisselung und/oder Durch- 
fiirung einer kryptografischen Verschliisselung aller oder einiger Blocke des wechselbaren Datentragers. 
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VERFAHREN ZUM SCHUTZEN VON VERTRAULICHEN DATEN 



Die Erfindung betrifft ein Verfahren zur Verhinderung des Verlustes der 
Vertraulichkeit der in einem Computersystem elektronisch gespeicherten Daten, 
wobei die Daten insbesondere mittels eines Dateisystems verwaltet werden 
und/odereine Einteilung in Blocke erfolgt, insbesondere bei Verwendung 
wechselbarer und/oder austauschbarer Datentrager und/oder Speichermedien, 
wobei an das Computersystem insbesondere Peripheriegerate anschliedbar 
sind. 

Arbeitsplatzcomputer verfugen zunehmend uber Schnittstellen, uber die ein 
unkontroilierter und in der Regel unerwunschter Datenaustausch mittels 
wechselbarer und/oder austauschbarer Datentrager und/oder Speichermedien 
stattfinden kann. Die Abschaltung dieser Schnittstellen ist nicht praktikabel, da 
sie wie zum Beispiel die USB-Schnittstelle zum Anschluss von Peripheriegeraten 
erwunscht sind. 

Der Transport und die Aufbewahrung wechselbarer Datentrager und 
Speichermedien erfordern besondere Sicherheitsmafcnahmen, urn ein 
unbefugtes Lesen und damit den Verlust der Vertraulichkeit zu verhindern. 
Bekannt ist die Anwendung kryptografischer Verschlusselungsverfahren zur 
Verschlusselung der Daten, urn ein unbefugtes Lesen der Daten zu verhindern. 



WO 2005/081089 PCT/EP2005/001817 

2 

Problematisch ist dabei, dass es bei den bekannten Arbeitsplatzcomputern 
moglich ist, ohne spezifische technische Kenntnisse Speichermedien an 
Computern anzuschlie&en. Mit der quasi ubiquitaren Verfugbarkeit nimrnt die 
Gefahr des missbrauchiichen Einsatzes stetig zu. Dieser Gefahr stehen keine 
administrativen Kontrollmechanismen gegenuber. 

Insbesondere die an modernen Computersystemen vorhandene USB- 
Schnittstelle stellt eine Gefahr dar, da an USB-Schnittstellen anschlieSbare, 
sogenannte Memory Sticks sehr klein und unauffallig und einfach zu handhaben 
sind und bei modernen Betriebssystemen auch bei bereits eingeschaltetem 
Computer unmittelbar erkannt werden. Derartige Speichermedien gestatten somit 
auf sehr einfache Weise einen Missbrauch, das hei&t insbesondere des 
Diebstahls von elektronisch gespeicherten Daten. 

Aus WO 02/19592 A2 ist ein Verfahren bekannt, bei dem auf einem UNIX 
basierten System jede Datei, die auf einem Speichermedium wie Diskette oder 
CD-ROM gespeichert werden soli, blockweise verschlusselt wird, und wobei eine 
zu iesende verschlusselte Datei automatisch blockweise entschlusselt wird. 

Nachteilig dabei ist, dass bei einer generellen Verschlusselung bei jedem 
Speichervorgang ein erwunschter Datentransfer, beispielsweise fur 
Veroffentlichungen, unterbunden wird. Weiterhin nachteilig ist bei diesem 
Verfahren, dass eine Unterscheidung zwischen verschiedenen Datentragern 
hinsichtlich der potentiellen Gefahr eines Datenverlustes nicht getroffen werden 
kann. 

Aufgabe der Erfindung Ist es, diese Nachteile zu uberwinden und ein Verfahren 
zu schaffen, welches unter Beibehaltung der Schnittstellenfunktionalitat den 
unerwunschten Datentransfer mittels wechselbarer Speichermedien verhindert, 
ohne den erwunschten Datentransfer mittels wechselbarer Speichermedien 
einzuschranken. 

Diese Aufgabe wird erfindungsgemaS dadurch gelost, dass bei einem Verfahren 
zur Verhinderung des Verlustes der Vertraulichkeit der in einem Computersystem 
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elektronisch gespeicherten Daten, wobei die Daten insbesondere mittels eines 
Dateisystems verwaltet werden und/oder eine EinteiJung in Blocke erfolgt, 
insbesondere bei Verwendung wechselbarer und/oder austauschbarer 
Datentrager und/oder Speichermedien, wobei an das Computersystem 
insbesondere Peripheriegerate anschlie&bar sind, die folgenden Schritte 
durchgefiihrt werden: 



• Analyse des Protokolls und des Datenstromes von und zu Datentragern 
und/oder Speichermedien und/oder Peripheriegeraten; 

• Bildung einer Klassifikation, insbesondere zur Unterscheidung zwischen nicht 
wechselbaren sowie wechselbaren Datentragern und/oder Speichermedien; 

• Festlegung in Abhangigkeit der getroffenen Klassifikation, ob eine 
Verschlusselung der elektronisch gespeicherten Daten zur Verhinderung des 
Verlustes der Vertraulichkeit der Daten erforderlich ist und in Abhangigkeit 
dieser Festlegung gegebenenfalls 

• Erganzen des Dateisystems auf einem wechselbaren Datentrager und/oder 
einem wechselbaren Speichermedium urn eine kryptografische 
VerschlOsselung und/oder DurchfOhrung einer kryptografischen 
Verschlusselung aller Oder einiger BI6cke des wechselbaren Datentragers 
und/oder des wechselbaren Speichermediums. 

Durch das erfindungsgema&e Verfahren ist somit in besonders vorteilhafter 
Weise moglich, den Verlust der Vertraulichkeit der in einem Computersystem 
elektronisch gespeicherten Daten zuverlassig zu verhindern und dabei eine 
groStmdgliche Flexibility der Gestalt zu ermdglichen, da unter Beibehaltung der 
Schnittstellenfunktionalitat der unerwunschte Datentransfer mittels wechselbarer 
Datentrager und/oder Speichermedien verhindert wird, wobei der erwunschte 
Datentransfer nicht eingeschrankt wird. Besonders vorteilhaft ist dabei, dass 
verfahrensgemaB eine Klassifikation der Datentrager bzw. Speichermedien 
durchgefiihrt wird und insbesondere zwischen Typen von Datentragern und/oder 
Speichermedien unterschieden werden kann. 



Weitere vorteilhafte Ausgestaltungen des erfindungsgemaSen Verfahrens sind in 
den Unteranspruchen angegeben. 
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Ein in das Betriebssystem eingebundenes Programm, in der Regel bestehend 
aus mehreren Treibern, Filtern, Diensten etc., analysiert Protokoii und 
Datenstrom von und zu Datentragem, Speichermedien und Peripheriegeraten. 
Unter Einbeziehung der a priori bekannten ausgewiesenen oder administrativ 
deklarierten Eigenschaften und Praferenzen erfolgt eine selbststandige 
Klassifikation hinsichtlich der Moglichkeit, als wechselbares Speichermedium 
bzw. als wechselbarer Datentrager zu dienen, urn somit eine Festlegung zu 
treffen, ob die Gefahr des Verlustes der Vertraulichkeit der Daten besteht und 
somit gegebenenfalls eine Verschlusselung der Daten durchzufuhren. 

Insbesondere konnen alle als wechselbare Speichermedium tauglichen 
Datentrager oder Gerate mit einer Verschlusselung belegt werden. Es kann 
entweder der Datentrager als ganzes oder alternativ lediglich Dateiinhalte oder 
Teile der Dateien oder ausgewahlte Dateien verschlusselt werden. 

Datentrager oder Speichermedium im Sinne dieses Verfahrens ist insbesondere 
jeder nicht fluchtige Speicher, der von Computersystemen lesbar oder lesbar und 
beschreibbar ist. Er kann fest oder wechselbar mit dem Computer verbunden 
sein und/oder uber wechselbare Medien verfugen, wie beispielsweise Disketten, 
ZIP-Laufwerke, Jaz, Bander, CD, MO, WORM etc. 

Die Organisation nicht fluchtiger Datentrager erfolgt typischerweise in Blocken 
bzw. Sektoren. Die BtScke sind bei den meisten Datentragem von konstanter 
Grofce, insbesondere der GroBe 2 n mit n groBer als 8. Sie konnen aber auch von 
variabler GroRe sein, zum Beispiel bei Streamern. Die physikalische Realisation, 
das heilit eiektrisch, magnetisch, optisch etc., und die Verteilung der Blocke auf 
dem Datentrager ist fUr die Anwendung des erfindungsgema&en Verfahrens 
unerheblich. Blocke bilden dabei die kleinste lesbare oder schreibbare Einheit 

Die Abstraktion einer Partition oder eines nicht zu partitionierenden Datentragers 
ist ein Volume. Dabei handelt es sich um die Entitat der mit Hilfe eines 
Dateisystems verwalteten Blocke. Es kann einen oder mehrere Datentrager oder 
Partitionen umfassen. Jedes Volume verfugt uber eine integrate Anzahl von 
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Blocken. Ein Volume wird durch einen Mount-Vorgang zuganglich gemacht und 
steht bis zum Unmount zur Verfugung innerhalb des Computersystems. Bei 
Verwendung beispielsweise von Memory Sticks, die an USB-Anschlusse 
angeschlossen werden kdnnen, erfolgt der Mount-Vorgang automatisch, da 
moderne Betriebssysteme von Computersystemen derartige Peripheriegerate 
unmittelbar erkennen. 

Auf Volumes, das hei&t insbesondere auf Partitionen Oder einem gesamten 
Datentrager abgelegte Daten werden mit einem Dateisystem organisiert. Dieses 
Dateisystem verwaltet die Dateien sowie Metainformationen uber die Dateien, die 
erforderlich sind, urn die Daten auf dem Datentrager zu lokalisieren. Die Daten 
selbst sind in Dateien organisiert. Die Metainformationen sind in Verzeichnissen 
und gegebenenfalls weiteren Dateien, die im allgemeinen nicht zuganglich sind, 
abgelegt. Es ist eine Vielzahl von Dateisystemen mit zum Teil weiteren 
spezifischen Eigenschaften bekannt. Jedes Dateisystem bildet die logische 
Organisation eines Datentragers in spezifischer Art und Weise auf die zu Grunde 
liegende Blockstruktur des Datentragers ab. 

Betriebssysteme unterscheiden zwischen mindestens zwei Hierarchieebenen, in 
denen Software ausgefuhrt wird. Im (privilegierten) Kernel Mode sind alle 
Maschinenbefehle ausfuhrbar, d.h. der Zugriff auf Systemdaten und Hardware ist 
nahezu uneingeschrsinkt moglich. Der in diesem Modus betriebene 
Betriebssystemkem abstrahiert und virtualisiert die Hardware und stellt Dienste 
fur den im User Mode laufenden Teil des Betriebssystems bereit. Dieser arbeitet 
in einem nicht (oder weniger) privilegierten Prozessormodus, d.h. es steht nur ein 
eingeschrankter Satz von Maschinenbefehlen zur Verfugung. Der Zugriff auf 
Systemdaten und Hardware ist in der Regel nicht moglich. Anwendungen und 
geschutzte Subsysteme laufen im User Mode. 

Das vorgestellte Verfahren kann die modulare Struktur heutiger Betriebssysteme 
erganzen. Es kooperiert mit dem Betriebssystem und erweitert es. Dabei ist es 
nicht erforderlich, Teile des Betriebssystems zu ersetzen oderzu modifizieren. 
Es wird lediglich die Arbeitsweise von Dateisystemtreibern modifiziert, indem die 
binare Representation der Daten auf dem Datentrager verandert wird. 
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Das Verfahren ist insbesondere fur alle Betriebssysteme die mit Datentragern mit 
Blockstruktur arbeiten anwendbar. 

Alle als wechselbares Speichermedium taug lichen Datentrager Oder Gerate 
konnen somit in Abhangigkeit der vorgenommenen Klassifikation mit einer 
Verschlusselung belegt werden. Dabei kann entweder der Datentrager als 
ganzes Oder lediglich Dateiinhalte verschlusselt werden. 

Das erfindungsgemaRe Verfahren ermoglicht die Benutzung wechselbarer 
Speichermedien, ohne dass befurchtet werden muss, dass diese von Unbefugten 
kompromittiert werden kQnnen. Dies gilt nicht nur fur Halbleiterspeicher wie 
wechselbare Festplatten, Memory Sticks etc., sondern auch fur alle 
magnetischen, magnetooptischen oder optischen Datentrager wie beispielsweise 
Diskette, ZIP-Laufwerk, Jaz, Bander, CD, MO, WORM etc. Es ist nicht 
erforderlich, Schnittstellen oder Laufwerke abzuschalten oder gar auszubauen. 
Damit kann die voile Funktionalitat der Computerhardware genutzt werden. 

Das erfindungsgemalJe Verfahren wird auf einer sehr niedrigen Ebene quasi 
unmittelbar vor dem Datentrager angewandt, so dass das erfindungsgemafce 
Verfahren weder fur Anwendungsprogamme noch fur das Betriebssystem in 
Erscheinung tritt Insbesondere erfolgt nicht zwangslaufig eine Kopplung von 
Benutzterauthentifizierung und Schlusselmanagement. Dies machtdie Sicherheit 
der Speichermedien unabhangig von der Sicherheit des Betriebssystems, das 
hei&t unsichere, ausgespahte oder notierte Passworte vermindern die Sicherheit 
nicht. 

Es ist keine Aktion seitens der Benutzer erforderlich, welche durch Fahrlassigkeit 
oder bose Absicht unterbleiben konnte. 

Es ist keine Anderung in der Logik des Betriebssystems oder ein spezielles 
Dateisystem wie beispielsweise EFS Encrypting File System erforderlich. Die 
spezifischen Vorteile des jeweiligen Dateisystems bleiben im vollen Umfang 
erhalten, da auf das Dateisystem an sich kein Einfluss genommen wird. Der 
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Schutz ist nicht an ein bestimmtes Dateisystem gebunden, sondern erganzt 
jedes Dateisystem. 

Bei Verlust oder Entwendung von DatentrSgern bedeutet dies nicht zugleich den 
Verlust der Vertraulichkeit der darauf enthaltenen Daten, da diese auf dem 
Datentrager gespeicherten Daten vollstandig Oder zumindest teilweise 
verschlusselt sind. Das zur Anwendung kommende kryptografische Verfahren 
bleibt einem potentiellen Angreifer unbekannt, womit ein Angriff erschwert wird. 

Somit wird unter Anwendung eines erfindungsgemaRen Verfahrens aus einem 
potentiell unsicheren Speichermedium ein Speichermedium fur besondere 
Sicherheitsanforderungen, denn besonders sensible Daten konnen 
ausschlie&lich auf wechselbaren Speichermedien gehalten werden, um durch 
physischen Verschluss vor unbefugtem Zugriff geschutzt zu werden. 

Durch Anwendung des erfindungsgema&en Verfahrens auf mehreren Computern 
unter Verwendung eines gemeinsamen Schlusseis entsteht eine 
Sicherheitsdomane. Dabei ist es nicht erforderlich, dass die Computer einer 
Sicherheitsdomane miteinander verbunden sind, wie beispielsweise in einem 
Netzwerk (LAN, WAN). Innerhalb einer Sicherheitsdomane wird die 
Verschlusselung wechselseitig aufgehoben, so dass wechselbare 
Speichermedien, beispielsweise zur Datensicherung, uneingeschrankt verwendet 
werden konnen. Die vom Betriebssystem zur Verfugung gestellten Mittel der 
Zugriffskontrolle bleiben dabei erhalten. 

Vorzugsweise ist festlegbar, dass eine Verschlusselung alter Blocke des 
Datentragers/Speichermediums oder dass eine Verschlusselung aller Dateien 
von der Speicherung auf dem Datentrager/Speichermedium oder dass eine 
Verschlusselung einiger Dateien vor der Speicherung auf dem 
Datentrager/Speichermedium erfolgt. 

Hierdurch ist es in vorteilhafter Weise moglich, eine gestufte Sicherheits- und 
Kompatibilitatshierarchie zu schaffen, in der hinsichtlich der zu speichernden 
Daten eine Klassifikation erfolgen kann. 
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Bei einer Verschiusselung aller Blocke des DatentrSgers, das hei&t bei einer 
Verschliisselung des gesamten Volumes, werden alie Sektoren verschlusselt. 
Der DatentrSger erscheint auf Computersystemen ohne das erfindungsgema&e 
Verfahren randomisiert, das heilit unformatiert und somit nicht lesbar. Diese 
Strategie bietet maximale Sicherheit bei minimaler Kompatibilitat. 

Alternativ kann eine Verschiusselung aller Dateien des Volumes, das hei&t aller 
Dateien einer Partition oder eines Datentragers, erfolgen. Der Datentrager bzw. 
das Volume erscheint somit auf Computersystemen, ohne das 
erfindungsgema&e Verfahren intakt, wobei die Dateien selbst randomisiert 
erscheinen, das heiSt nicht lesbar sind. Der Versuch eines Zugriffs fiihrt zu 
Fehlermeldungen und ist erfolglos. Lediglich die Dateinamen konnen Hinweise 
auf den Inhalt bieten, der jedoch verborgen bleibt. 

Alternativ kann eine Verschliisselung einiger ausgewahlter Dateien eines 
Volumes erfolgen. Neu angelegte oder uberschriebene oder festlegbaren 
Kriterien folgende Dateien werden verschlusselt. Als solche Kriterien konnen 
insbesondere Dateityp und Speicherort dienen. Bereits bestehende Dateien 
bleiben unverandert. Insbesondere konnen bestehende Dateien mit einem nicht 
aufzuhebenden Schreibschutz versehen werden, so dass Anderungen an ihnen 
ausgeschlossen sind. Vorteilhaft bei dieser Strategie ist insbesondere eine hohe 
Sicherheit bei maximaler Kompatibilitat zu Rechnern oder Geraten ohne das 
erfindungsgemalJe Verfahren. Beispielsweise erzeugen Digitalkameras 
unverschlusselte Dateien auf einem Volume, in diesem Fall dem 
Kameraspeicher, die gelesen werden konnen. Alle schreibenden Dateizugriffe 
erfolgen jedoch verschlusselt. 

Insbesondere ist es bei der Verschliisselung einiger ausgewahlter Dateien vor 
der Speicherung auf dem Datentrager/Speichermedium moglich, die Metadaten 
bzw. die Kommunikation als Gesamtheit zu erhalten, die Daten an sich jedoch 
vor einem Zugriff zu schutzen. 
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Alternativ oder kumulativ ist es auch moglich, dass jedes Dateisystem auf nicht 
wechselbaren und/oder nicht austauschbaren Datentragern und/oder 
Speichermedien urn eine kryptografische Verschlusselung erganzt wird. 
Hierdurch kann eine maximale Sicherheit erreicht werden. 

In einer bevorzugten Ausfuhrungsform wird die kryptografische Verschlusselung 
bei Vorliegen besonderer Merkmale temporar aufcer Kraft gesetzt. Dieses kann 
insbesondere dadurch realisiert werden, dass eine Hardware mit einem 
eingebundenen Schlussel wie beispielsweise ein Dongle und/oder unter 
Verwendung eines Kennwortes und/oder durch Erkennung und Uberprufung 
biometrischer Daten eines Benutzers einer Verschlusselung von Daten 
unterbindbar ist, um beispielsweise eine gewunschte Veroffentlichung von Daten 
zu ermoglichen. 

Bei Verwendung eines Datentragers und/oder eines Speichermediums ohne 
Dateisystem kann eine Verschlusselung aller BI6cke erfolgen. 

Bei Anschluss eines Datentragers und/oder Speichermediums an eine 
multifunktionale Schnittstelle und/oder einen multifunktionalen Bus, insbesondere 
Steckplatz, USB-Schnittstelle und dergleichen, bleibt die Schnittstellen- und/oder 
Bus-Funktionalitat voll erhalten und es werden nur derartige Datenstrome 
zumindest teilweise einer Verschlusselung unterworfen, die zur Abspeicherung 
der Daten an die Schnittstelle und/oder den Bus we itergeleitet werden. Ein 
Erkennen dieser Datenstrome ist durch das erfindungsgemaSe Verfahren 
gewahrleistet, da eine Analyse des Datenstroms von und zu DatentrSgern 
und/oder Speichermedien und/oder Peripheriegeraten erfolgt. Hierdurch kann es 
gewahrleistet werden, dass einerseits die voile Schnittstellen- oder Bus- 
Funktionalitat erhalten bleibt, wie dies beispielsweise bei Anschluss eines 
Druckers an eine USB-Schnittstelle erforderlich ist, und andererseits bei zu 
speichernden Daten, wie dies bei Anschluss eines Memory-Sticks an eine USB- 
Schnittstelle der Fall ist, eine zumindest teilweise automatische Verschlusselung 
zur Verhinderung des Verlustes der Vertraulichkeit der Daten durchgefuhrt wird. 
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Vorzugsweise erfolgt eine Analyse der Schnittstelle und/oder des Busses, an die 
der Datenstrom erfolgen soli, wobei diese Analyse bei der Bildung der 
Klassifikation insbesondere anhand festlegbarer Kriterien berucksichtigt wird, 
insbesondere hinsichtlich der physikalischen Verbindung und/oder weiterer 
Eigenschaften, wie beispielsweise mit Oder ohne Kabel und/oder 
Gerateeigenschaften und/oder intern bzw. extern und/oder fest bzw. wechselbar, 
das heifct, dass beispielsweise Drucker und Memory Sticks, die gleicherma&en 
uber eine USB-Schnittstelle mit dem Computersystem verbindbar sind, 
unterschiedlich klassifizierbar sind hinsichtlich der Gefahr eines Verlustes der 
Vertraulichkeit der Daten. 

Vorzugsweise werden zur VerschlOsselung kryptografische Methoden 
angewendet, insbesondere der Rijndael-Algorithmus bietet eine hohe Sicherheit 
gegen eine unbefugte Entschlusselung. 

Bei einem Lesevorgang von einem zumindest teilweise verschlusselten 
Datentrager und/oder Speichermedium erfolgt vorzugsweise automatisch eine 
Entschlusselung der Daten. Vorteilhaft ist es, wenn bei Zugriff auf einen 
Datentrager und/oder Spreichermedium eine Prufung erfolgt, ob eine 
Verschlusselung aller Blocke des Datentragers / Speichermediums oder eine 
VerschlOsselung aller Dateien auf dem Datentrager / Speichermedium oder eine 
Verschlusselung einiger Dateien vorliegt, und dass eine Entschlusselung der 
angeforderten Daten erfolgt. 

Zur Verschlusselung bzw. Entschlusselung konnen Schlussel Verwendung 
finden, die durch Zusammensetzung verschiedener Anteile gebildet sind, wobei 
insbesondere mehrere Computersysteme zu Gruppen zusammengefasst 
werden, wobei die Schlussel einer Gruppe von Computersystemen einen 
ubereinstimmenden Anteil sowie jeweils einen individuellen Anteil aufweisen. 

Insbesondere ist eine Schlusselbildung durch Zusammensetzung verschiedener 
Anteile variabler oder fester BIT-Lange moglich. Durch ein 
Schlusselmanagement in Art einer SchlieRanlage konnen Sicherheitsdomanen 
organisiert werden. Desweiteren ist die Bildung von Schlusselmengen als 
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Unterschlussel einer Sicherheitsdomane moglich, wobei Schnittmengen gebildet 
werden konnen, derail, dass ein Austausch von Daten, das heiSt die 
Entschlusselung verschlusselter Daten innerhalb einer Gruppe, freigegeben oder 
unterbunden oder teilweise unterbunden werden kann. 

Der Schlussel kann einerseits innerhalb des erfindungsgemaSen Verfahrens 
implementiert, das hei&t fest kodiert sein. Der Schlussel kann jedoch auch in 
einer Datenbank abgelegt sein, oder in einer Hardware eingebunden sein, 
beispielsweise in einem Dongle oder unter Verwendung eines Algorithmus aus 
biometrischen Daten eines Benutzers ermittelt werden. 

Eine Implementation des erfindungsgemaSen Verfahrens kann dergestalt 
erfolgen, dass eine Kombination aus geeigneten Filtern und Treibern erstellt wird, 
die auf sehr niedriger Ebene den Protokoll- und Datenfluss zwischen den 
Anwendungsprogrammen und hoheren Ebenen des Betriebssystems einerseits 
und den Speichermedien andererseits analysiert und - nach Bedarf - modifiziert. 

Die Modifikation besteht in der Anwendung einer kryptografischen 
Verschlusslung. Sie kann Qe nach installierter Option) entweder das 
Speichermedium als Ganzes, oder Teile davon (Dateiinhalte) verschltisseln. Bei 
der Verschlusselung von Teilen (Dateiinhalten) konnen insbesondere auch die 
Metadaten manipuliert werden. Die Auswahl der zu uberwachenden 
Schnittstellen und Lauiwerke kann produktspezifisch festgelegt oder 
administrabel sein. 

Ein weiteres Modul fungiert als Schlusselverwalter fur die kryptografische 
Komponente. Er kann ftir einzelne Computer die notwendigen Schlussel in einer 
geeigneten Datei oder Datenbank verwalten. Fur mehrere Computer mit 
gemeinsamer Schlusselverwaltung stellt dieser Dienst die Schlussel entweder 
ebenfalls aus lokaler Venwaltung zur Verfugung, oder - bei Verbindung 
beispielsweise im LAN - in Abstimmung mit einem zentralen Schlusselverwalter. 

Bei Vorliegen besonderer Merkmale kann die Verschlusselung tempor^r aufcer 
Kraft gesetzt werden. Diese Merkmale konnen durch eine besondere 
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Identifikation - beispielsweise eines physischen Schlussels - vorliegen; sie 
konhen aber auch in den Daten begrundet sein. So kann ein sog. Dongle, der nur 
zeitweise ausgegeben wird, die Verschlusselung aufheben, urn die Erstellung 
von Datentragern zur Veroffentliohung zu ermoglichen. Ebenso kann die Erken- 
nung bestimmter Dateiformate die Verschlusselung aufheben, so dass Bilddaten 
von einer Kamera gelesen werden konnen. 

Ein Ausfuhrungsbeispiel der Erfindung ist in den Figuren dargestellt und wird im 
Folgenden naher erlautert. Es zeigen: 

Figur 1 Schematische Darstellung der Anwendung des Verfahrens bei 



mehreren Computersystemen bzw. Computern 



Figur 2 



Durchfuhrung des Lesens und Schreibens von Daten bei 
Computersystemen nach dem Stand der Technik 



Figur 3 



Durchfuhrung des Lesens und Schreibens von Daten bei 
Computersystemen gemafc einer Ausfuhrungsform des 
erfindungsgemaRen Verfahrens 



Figur 4 



Schematische Darstellung des Verfahrens nach Figur 3 mit 
weiteren Komponenten 



Figur 5 



Darstellung eines Datentragers bzw. eines Speichermediums 
real und aus Sicht zugreifender Programme 



Figur 6 



Ablauf des Offnens bzw. Erstellens einer Datei 



Figur 7 



Datenfluss beim Lesen und Schreiben einer Datei mit dem 
erfindungsgema&en Verfahren sowie nach dem Stand der 
Technik 



Figur 8 Datenfluss gemaB Figur 7, jedoch unter Umgehung eines 

Systemcaches 
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Figur 9 



Datenfluss beim Lesen und Schreiben mittels MMF (Memory 
Mapped Files) 



Figur 10 



Schematische Darstellung eines Verschlusselungsvorgangs 



Figur 1 zeigt eine schematische Darstellung der Anwendung des Verfahrens bei 
mehreren Computersystemen bzw. Computern. Durch Zusammenschluss 
mehrerer Computer 11, 12, 13 mit gemeinsamer Schlusselverwaltung entsteht 
eine Sicherheitsdomane 10. Dabei ist es nicht notwendig, dass alle Computer 1 1 , 
12, 13 miteinander vernetzt sind. So konnen eine oder mehrere Abteilungen 
eines Betriebes eine Sicherheitsdomane 10 bilden. Ebenso konnen dies mehrere 
Computer eines Benutzers an unterschiedlichen Standorten sein, zwischen 
denen Daten per Wechseldatentrager ubertragen werden. 

Wechselbare Speichermedien 22, die innerhalb der Domane 10 erstellt werden, 
bzw. einzelne Dateien darauf, die innerhalb der Domane 10 geschrieben werden, 
sind mit Computern 31, 32 au&erhalb nicht lesbar und umgekehrt. Innerhalb der 
Domane 10 k6nnen wechselbare Speichermedien 21 freizugig benutzt werden. 

Denkbar sind bei der Anwendung des Verfahrens insbesondere folgende 
Szenarien: 

• Bandkassetten oder andere zur Datensicherung eingesetzte 
Speichermedien konnen dezentral aufbewahrt werden. Besondere 
TransportsicherungsmaBnahmen entfallen. 

• Besonders sensible Daten konnen ausschlieBlich auf Wechselfestplatten 
gehalten werden. Sie konnen physisch weggeschlossen werden und sind 
nur innerhalb der Sicherheitsdomane lesbar. 

• Gesetzliche Auflagen hinsichtlich des Datenschutzes lassen sich leichter 
einhalten, da alle Speichermedien, die die Sicherheitsdomane verlassen 
oder zwischen nachgeordneten Subdomanen ausgetauscht werden vor 
unbefugtem Lesen geschutzt sind. 
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• Personliche Oder wirtschaftliche Nachteile konnen aus dem gleichen 
Grund vermieden werden. 

• In einem LAN konnen lokale Datensicherungen (auf Clientcomputern) 
durchgefuhrt werden, Eine missbrauchliche Nutzung ist nicht zu 
befurchten. 

• Die unkontroliierte Ausfuhrung nicht freigegebener Programme kann 
unterbunden werden, da der Eintrag via Speichermedien nicht moglich ist 
(sofern nicht beispielsweise CD-ROMs freigegeben sind). 

In Figur 2 dargestellt ist schematisch die Durchfuhrung des Lesens und 
Schreibens von Daten bei Computersystemen nach dem Stand der Technik. 
Betriebssysteme unterscheiden dabei zwischen mindestens zwei Hirachieebenen 
in denen Software ausgefuhrt wird. Diese Hierarchieebenen sind zum einen der 
Kernel-Mode 100 sowie der User-Mode 200. Im User-Mode 200 werden 
insbesondere Anwendungsprogramme bereitgestellt und ausgefuhrt. 

Im Kernel-Mode werden die im Cache 101 elektronisch zwischengespeicherten 
Daten uber einen Memory-Manager 102 mittels des Dateisystems 103 den 
Speichermedien 104 zugefuhrt und auf diesen Speichermedien 104 
abgespeichert. Die Anforderung zur Durchfuhrung dieses Vorganges erfolgt 
durch im User-Mode 200 ausgefuhrte Anwendungsprogramme. Die 
entsprechenden Anforderungen solcher Anwendungsprogramme konnen 
erfolgen durch Zugriffe entsprechend Pfeil 201 , durch Zugriff auf den Memory- 
Manager 102, oder angedeutet durch den Pfeil 202 durch Zugriff auf das 
Dateisystem 103. Ein Lesevorgang erfolgt durch eine entsprechende 
Umkehrung, d.h. durch Auslesen von Daten aus dem Speichermedium 104 uber 
das Dateisystem 103 und gegebenenfalls Weiterleitung der Daten an den Cache- 
Manager 101, bzw. den Memory-Manager 102. 

Die auf den Speichermedien 104 abgelegten Daten sind gegen einen unbefugten 
Zugriff nicht geschutzt. Handelt es sich bei den Speichermedien 104 urn 
wechselbare Speichermedien wie beispielsweise Disketten oder CD, so ist ein 
Verlust der Vertraulichkeit der Daten nicht auszuschliefcen. 
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In Figur 3 dargestellt ist die Durchfuhrung des Lesens und Schreibens von Daten 
bei Computersystemen, gemafc einer Ausfuhrungsform des erfindungsgema&en 
Verfahrens. 

Auf der hierarchischen Ebene des Kernel-Modes ist der Kommunikationsstrang 
zwischen Dateisystem 103 und Speichermedium 104 erganzt durch eine 
Verschlusselung 105. Die Ver-, bzw. Entschlusselung 105 basiert auf einem von 
einem Modul 106 bereitgestellten Schlussel. Bei Vorliegen einer entsprechenden 
Klassifikation des anzusprechenden Speichermediums 104 erfolgt durch das 
Ver-, bzw. Entschlusselungsmodul 105 eine Ver- bzw. Entschlusselung der zu 
lesenden, bzw. zu schreibenden Daten. 

Das Modul zur Schlusselbereitstellung 106 ist dabei in der Hierarchieebene des 
Kernel-Modes 100 implementiert. Dem Schlusselbereitstellungsmodul 106 
konnen jedoch benutzerdefinierte und/oder Hardware basierte Schlussel 
zugefuhrt werden, aus dem User-Mode 200 beispielsweise unter Verwendung 
eines Dongles Oder unter Verwendung zu erfassender biometrischer Daten des 
Benutzers. 

Eine Implementation des erfindungsgemalJen Verfahrens kann durch die 
Komponenten gemSS Figur 4 realisiert werden, welche die Kommunikation der 
Module innerhalb des Betriebssystems beobachten und an geeigneter Stelle 
modifizieren. Sie erfolgt vorzugsweise vollstandig im Kernel Mode 100 gemafc 
Figur 4. So ist einerseits eine vollstandige, nahtlose Integration im 
Betriebssystem moglich und andererseits der Schutz vor Programmen im User 
Mode 200 zu erreichen. 

Das erfindungsgema&e Verfahren wirkt so, dass die Ver- bzw. Entschlusselung 
105 unmittelbar vor dem Schreiben bzw. nach dem Lesen von Blocken auf bzw. 
vom Speichermedium 104 stattfindet. Die auf dem Datentrager 104 
moglicherweise verschlusselt vorliegenden Daten liegen im Hauptspeicher immer 
unverschlusselt vor. Dadurch ist selbst bei prozessorintensiven 
Verschlusselungsalgorithmen die Beeintrachtigung der Systemleistung minimal. 
Die Ver- und Entschlusselung kann besonders vorteilhaft in etwa in der Zeit 
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durchgefuhrt werden, zu denen das System ohnehin auf die Erfullung einer 
Anforderung an einen Datentrager 1 04 wartet. 

Schreibvorgange erfolgen dergestalt, dass jeder folgende Block in der Zeit 
verschlusselt wird, in welcher der vorhergehende auf den Datentrager 1 04 
geschrieben wird. Analog bei Lesevorgangen, hier wird jeder Block in der Zeit 
entschliisselt wird, in welcher der nachste gelesen wird. Vorteilhaft ist dabei, 
dass bei einer Referenzimplementation selbst PC mit 300 MHz CPU aufter einer 
nicht wahrnehmbaren Latenz keine Verlangsamung zeigen. Die Verwendung des 
Verfahrens zeigt sich lediglich in der auf ca. 60% angestiegenen CPU 
Auslastung, anstelle des Leerlaufs wahrend der I/O Wartezeiten. 

Das erfindungsgema&e Verfahren lasst an dieser Stelle mehrere Strategien fur 
den Umfang der Verschlusselung zu. Es bestehen die Mdglichkeiten der 
Verschlusselung des Datentragers in toto, d.h. jeder Block wird verschlusselt 
Oder der Verschlusselung aller Dateien oder der Verschlusselung einiger 
Dateien, wie nachfolgend erlautert wird: 

1 . Verschlusselung der Volumes in toto. 

Alle Sektoren werden verschlusselt. Der Datentrager 104 erscheint auf Rechnern 
ohne dieses Verfahren randomisiert; d.h. unformatiert. Fremde Datentrager 104 
miissen vor der Verwendung erst neu formatiert oder bei gewunschtem 
Datenerhait konvertiert werden. Zur Erhohung der Sicherheit kann die 
Generierung der Initialisierungsvektoren 4010, 4020 (Figur 10) durch die bei 
diesem Verfahren bekannte absolute Blockadresse (des Datentragers) 
modifiziert werden. Diese Strategie bietet maximale Sicherheit bei minimaler 
Kompatibilitat. 

2. Verschlusselung aller Dateien der Volumes. 

Der Datentrager 104 erscheint auf Rechnern ohne dieses Verfahren intakt; die 
Dateien selbst erscheinen randomisiert. Der Zugriff fiihrt zu Fehlermeldungen 
und ist erfolglos. Lediglich die Dateinamen k6nnen Hinweise auf den Inhalt 
bieten. Bei der Einrichtung miissen alle Dateien verschlusselt werden. 



WO 2005/081089 PCT/EP2005/001817 

17 

3. Verschlusselung einiger Dateien eines Volumes. 

Neu angelegte oder uberschriebene Dateien werden verschliisselt. Bereits 
bestehende Dateien bleiben unverandert Sie werden mit einem nicht 
aufzuhebenden Schreibschutz versehen, der vergleichbar ist mit Dateien auf CD- 
ROM, so dass Anderungen an ihnen ausgeschlossen sind. 
Diese Strategie bietet die meisten Vorteile. Die Sicherheit ist bei gut gewahltem 
kryptographischem Algorithmus hinreichend groR bei maximaler Kompatibilitat zu 
Rechnern oder Geraten ohne dieses Verfahren. Beispielsweise erzeugen 
Digitalkameras unverschlusselte Dateien auf einem Volume, d.h. dem 
Kameraspeicher, die gelesen werden konnen. Alle schreibenden Dateizugriffe 
erfolgen jedoch verschlusselt. 

Im letztgenannten Modus der Verschlusselung aller Dateien muss fur jede Datei 
ein Kennzeichen hinsichtlich ihrer Verschlusselung untergebracht werden. Dabei 
muss dieses Kennzeichen kompatibel mit alien Dateisystemen bleiben. Mit einer 
willkurlichen Aufteilung des Namensraumes fQr Dateinamen ermoglicht dieses 
Verfahren die Kennzeichnung der mit diesem Verfahren behandelten, d.h. 
verschlusselten Dateien entsprechend der Zugehorigkeit des Dateinamens zu 
einem der beiden Namensunterraume zur Unterscheidung „verschlusselt" bzw, 
„unverschlusselt". 



Diese Kennzeichnung kann wie im nachfolgenden Beispiel angegeben erfolgen: 



Aktion 


Darstellung des 
Dateinamens in einer 
Anwendung 


Dateiname auf dem 
Datentrager 


Datei wird erzeugt 


xy.doc 




Das Verfahren modifiziert den 
Dateinamen 




xy.doc.$~# 


Auflistung des 
Inhaltsverzeichnisses zeigt 


xy.doc 




Auflistung des 
Inhaltsverzeichnisses eines 
Computersystems ohne das 
Verfahren zeigt 




xy.doc.$~# 
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Unter Anwendung des erfindungsgemaften Verfahrens bleibt somit die 
Modifikation der Dateien auf einem Datentrager fur den Benutzer verborgen, da 
die Darstellung des Datentragerinhaltes gemali dem vorstehenden Beispiel dem 
Benutzer keinen Hinweis auf eine Manipulation der Daten liefert. Die 
automatische Verschlusselung in Abhangigkeit der getroffenen Klassifikation des 
Datentragers sowie der festegelegten Strategie bleibt dem Benutzer verborgen, 
da die Verschlusselung beim Abspeichern von Daten auf dem Datentrager sowie 
die Entschliisselung beim Lesen von Daten von dem Datentrager automatisch 
erfolgt und dieser Vorgang im Kernel Mode, d.h. fur den Benutzer verborgen, 
durchgefiihrt wird. Hierdurch wird insbesondere ein Datendiebstahl von solchen 
Personen effektiv unterbunden, die zwar berechtigt sind, die Daten zu 
bearbeiten, jedoch keine Berechtigung fur eine Weitergabe der Daten haben. Der 
Einsatz des Verfahrens kann ohne Kenntnis des Benutzers erfolgen. 

Weitere Details des Ausfuhrungsbeispiels ergeben sich aus Figur 4. 
Der Klassifikator 1 14 uberwacht einige oder alle Schnittstellen und Bussysteme 
uber die eine AnschlussmOglichkeit fur Datentrager 104 besteht. Der Klassifikator 
114 unterscheidet zwischen Datentragern 104 und anderen Geraten wie 
Tastatur, Maus, Drucker, Scanner, etc. 

Erkannte Datentrager 104 (Volumes) werden hinsichtlich ihres 
„Gefahrenpotentials" klassifiziert. Zur Klassifikation werden die deklarierten 
Eigenschaften, Inhalte, sowie die Einbettung in das Betriebssystem ausgewertet. 
So wird z.B. das Volume auf dem sich das Betriebssystem befindet anders 
klassifiziert als ein mittels USB-Schnittstelle nachtraglich gemountetes Volume 
auf einem Memory-Stick; eine Diskette anders als eine Festplatte. 

Besonders vorteilhaft ist, dass nicht ein bestimmtes Volume zur Verschlusselung 
ausgewahlt wird, sondern eine Klasse von Volumes, die beliebig viele Instanzen 
beinhalten kann. Typ, Inhalt und Verhalten eines jeden Volumes sind die 
Grundlage fur die Klassifikation. Dabei bleibt mit dem erfindungsgemalSen 
Verfahren die voile Funktionalitat der Schnittstellen erhalten, z.B. beim Anschluss 
eines Druckers an einen USB-Port. 
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Der Aktivitatsmonitor 113 beobachtet die Kommunikation der Dateisystemtreiber 
mit den ubrigen Komponenten. Er registriert Anforderungen 
(read/write/seek/ioctl/...) aus dem User Mode 200, z. B: von Diensten oder 
Anwendungsprogrammen ebenso wie Anforderungen aus dem Kernel Mode 100, 
z. B. von Cache-Manager 101 oder Memory Manager 102. Die Analyse der 
Kommunikation ermoglicht die Bildung von zwei disjunkten Klassen, d.h. jede 
Anforderung lasst sich eindeutig zuordnen. Diese sind: 

1. Datentransfer und Funktionen innerhalb des Hauptspeichers, 

2. Datentransfer und Funktionen unter Beteiligung eines Datentragers 104. 

Alle Anforderungen der zweiten Klasse mussen das Ver-/Entschlusselungsmodul 
105 passieren und werden dort je nach implementierter Strategie manipuliert. Sie 
erhalten ein virtuelles Etikett, dessen Information zu der Entscheidung des Ver- 
bzw. Entschlusselungsmoduls 105 beitragen, wie mit den Daten dieser 
Anforderung zu verfahren ist. 

Anforderungen, die direkt, d.h. ohne Beteiligung des Datentragers 104, z.B. aus 
oder mit dem Cache erledigt werden konnen, konnen unverandert passieren. 

Indem nur wahrend der ohnehin vergleichsweise langsamen Zugriffe auf 
Datentrager 104 die Ver- bzw. Entschlusselung durchgefuhrt wird, reduziert diese 
Konzeption den Einfluss auf die Systemleistung auf ein absolutes Minimum. 
Auch die Ver- bzw. Entschlusselung erfolgt mit maximaler Effizienz, da nahezu 
immer Blocke gleicher Grofle bearbeitet werden und der Algorithmus 
entsprechend optimiert werden kann. 

Mittels des Schlusselmanagers 116 erfolgt die Bereitstellung eines oder mehrerer 
Schlussel fur die Ver- und Entschlusselung 105. 

In Figur 5 dargestellt ist die Modifikation einer auf einem Speichermedium 104 zu 
speichernden Datei 50 durch die Verschlusselung 105 bei Verwendung eines 
Vorspanns 601 bzw. eines Nachspanns 603, d.h. dass die tatsachlich auf dem 
Speichermedium 104 abgelegte Datei 60 gegenuber der dem Klienten des 
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Dateisystems 103 vorliegenden Datei 50 modifiziert ist. Unter dem Klienten des 
Dateisystems 103 wird insbesondere jedes Anwendungsprogramm sowie jeder 
Bestandteil des Betriebssystems verstanden, welches sich der Dienste des 
Dateisystems, wie z.B. Lesen und Schreiben von Dateien, bedient 

Bei Verwendung eines privaten (d. h. nur dem vorgestellten Verfahren 
dienenden) Vorspanns 601 Oder Nachspanns 603 in einer verschlusselten Datei 
60 werden die DateigroRen um die Gro&e der zusatzlichen Daten vermindert. 
Dem Klienten des Dateisystems 103 wird eine entsprechend kleinere Datei 502 
„vorgetauscht". 

Die Verwendung eines privaten Vorspanns 601 in einer verschlusselten Datei 60 
werden die Positionsinformationen durch entsprechende Addition/Subtraktion 
transformiert. Die dem Klienten des Dateisystems 103 als Dateianfang 
erscheinende Position in der Datei 50 ist physikalisch auf dem Datentrager 104 
die Position unmittelbar nach dem privaten Vorspann 601. 

Die Verwendung eines privaten Nachspanns 603 bleibt fur den Klienten des 
Dateisystems 103 in ahnlicher Weise unkenntlich. Das scheinbare Dateiende ist 
auf dem Datentrager 104 der Beginn des (fur den Klienten des Dateisystems 103 
unerreichbaren) Nachspanns 603. 

Fur den Klienten des Dateisystems 103 ist somit lediglich der Dateiname 500 
sowie die eigentliche Datei 502 sichtbar, die auch in dieser Form dem Benutzer 
angezeigt werden. Die tatsachliche, d.h. physikalische Datei 60 auf dem 
Speichermedium 104 weist jedoch einen modifizierten Dateinamen 600 auf. Des 
weiteren ist der Inhalt, d.h. die eigentliche Datei 602 - unabhangig von ihrem 
inneren Aufbau - gegenuber dem fur die Klienten des Dateisystems 103 
vorliegenden Dateiinhalt 502 modifiziert und um einen Vorspann 601 und/oder 
einen Nachspann 603 erganzt. 

Fur verschlusselte Dateien 60 wird fur alle Operationen mit Bezug auf 
Dateinamen 600 die Namensraumtransformation durchgefuhrt. 
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Fur verschlusselte Dateien 60 wird die Entschlusselung 105 durchgefuhrt. Bei 
fehlendem oder nicht passendem Schlussel erfolgt eine entsprechende Meldung; 
der Zugriff bleibt wie bei nicht mit diesem Verfahren arbeitenden Systemen 
verwehrt, d.h. fehlende Schlussel fuhren schon im Aktivitatsmonitor zu den 
entsprechenden Meldungen. Die Anforderungen erreichen den 
Dateisystemtreiber gar nicht erst. 

FOrzu verschlusselnde Dateien 50 wird die Verschlusselung 105 durchgefuhrt. 
Bei fehlendem Schlussel ist keine Schreiboperation moglich, d.h. dass auch in 
diesem Fall fehlende Schlussel schon im Aktivitatsmonitor zu den 
entsprechenden Meldungen fuhren und den Dateisystemtreiber nicht erreichen. 

Alle anderen Daten (nicht zu verschlusselnde Dateien, Metadaten des 
Dateisystems au&er ggf. Dateigrdfcen) bleiben unverandert. Die spezifischen 
Vorteile jedes Dateisystems 103 bleiben in vollem Umfang erhalten. 

Zur Verschlusselung 105 konnen sowohl eine Strom- als auch eine 
Blockverschlusselung zur Anwendung kommen. Da blockbasierte Verfahren 
ublicherweise bessere Ergebnisse liefern, und nahezu alle Daten bereits in 
Blocken konstanter GroBe vorliegen, bietet sich ihre Verwendung an. 

In Figur 6 dargestellt ist ein Ablaufdiagramm, welches das Offnen bzw. Erstellen 
einer Datei unter Anwendung des erfindungsgemaRen Verfahrens zeigt, wobei 
hier die Strategie verfolgt wird, dass ein temporares AuBerkraftsetzen der 
VerschlOsselung zul§ssig ist. Es werden sowohl die Berechtigung als auch der 
Schlussel uberpruft. Bei Vorliegen der Voraussetzungen erfolgt eine „norma!e" 
Betriebsart. Mangelt es an einer der Voraussetzungen, so fuhrt dies zu einer 
Fehlermeldung, d.h. dass die Daten dem Benutzer verborgen beliben. 

In den Figuren 7 und 8 dargestellt ist der Datenfluss beim Lesen und Schreiben 
einer Datei mit dem erfindungsgemalien Verfahren gemaS der Darstellung nach 
Figur 4 unter Berucksichtigung eines Memory-Managers 102 sowie eines Cache- 
Managers 101 (in Figur 7) bzw. ohne Berucksichtigung eines Memory-Managers 
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und eines Cache-Managers (in Figur 8). In Figur 9 dargestellt ist der Datenfluss 
beim Lesen und Schreiben via Memory Mapped Files MMF. 

Den Darstellungen nach Figuren 7 bis 9 ist zu entnehmen, dass ein Zugriif auf 
das Speichermedium 104 unter Berucksichtigung des Klassifikators 1 14 auf 
Grund der Implementierung des Verfahrens im Kernel-Mode 100 jeweils 
ausschlieBlich unter Berucksichtigung des Ver-, bzw. Entschlusselungsmoduls 
105 moglich ist. Ein Zugriff auf ein Speichermedium 104 an dem Ver-, bzw. 
Entschlusselungsmodul 105 vorbeiwird zuverlassig unterbunden. 

Unabhangig davon, ob bzw. in welcher Form seitens des Betriebssystems ein 
Memory Manager 102 und ein Cache Manager 101 im Kernel Mode 100 
implementiert und in die Interaktion mit dem Dateisystem 103 involviert sind, 
erfolgt durch den Aktivitatsmonitor 113 und die Verschlusselung 105 jeweils eine 
Oberwachung des Datenstromes 130, 131 zwischen Dateisystem 103 und dem 
Speichermedium 104, wobei das Speichermedium 104 durch den Klassifikator 
114 hinsichtiich des damit verbundenen Gefahrenpotentials eines Verlustes der 
Vertraulichkeit der Daten klassifiziert wird. Dabei wird sowohl der Datenstrom 
130 vom Dateisystem 103 zu dem Speichermedium 104 hin uberwacht und 
gegebenenfalls in Abhangigkeit der vorgenommenen Klassifikation verschlusselt 
als auch wird der Datenstrom 131 vom Speichermedium 104 zum Dateisystem 
103 hin uberwacht, wobei hier gegebenenfalls eine automatische 
Entschltisselung der Daten erfolgt. 

In Figur 10 dargstellt ist eine Moglichkeit der Bildung eines Schlussels 300 aus 
DomSnenanteil 301 , einem individuellen Anteil 302 sowie einer Funktion 303. 
Alle Schlussel 300 werden aus mehreren Teilen 301, 302, 303 variabler Bitlange 
zusammengesetzt Der Domanenanteil 301 ist fur alle Schlussel einer Domane 
gleich und erzeugt den Initialisierungsvektor 4010. Er gewahrleistet die Trennung 
der Sicherheitsdomanen. Seine Lange sollte 128 Bit nicht unterschreiten. Alle 
Rechner die mit dem vorgeschlagenen Verfahren arbeiten, bilden 
Sicherheitsdomanen 10. Datentransfer mittels wechselbarer Medien 104 ist nur 
innerhalb einer Sicherheitsdomane 10 moglich. 
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Der individuelle Anteil 302 in Verbindung mit dem Funktionsanteil 303 dient zur 
Erstellung von gieichschlieSenden Schlussetn innerhalb einer 
Sicherheitsdomane. Schlussel 300 die bei gleichem Funktionsanteil 303 gleiche 
Initialisierungsvektoren 4010, 4020 ergeben, sind Equivalent. Durch geschickte 
Wahl des individuellen Anteils 302, z.B. durch ein Konfigurationsprogramm, 
lassen sich Schlusselgruppen und -hierarchien erstellen. 

Der Funktionsanteil 303 kodiert die Funktion des Schlussets 300 als 
kryptografischer Schlussel, Berechtigungsschlussel, Komplement, etc. Bei einem 
Komplement n-ter Ordnung bedeutet dies, dass diese n Schlussel nur zusammen 
wirksam sind. 

Der individuelle Anteil 302 dient zur Unterscheidung und ggf. dem 
Verwendungsnachweis individueller Schlussel 300. 

Der Schlusselmanager 116 bezieht die Schlussel 300 oder einzelne Anteile 301, 
302, 303 auf unterschiedlichen Wegen: 

• von der Benutzeranmeldung (explizit fur diesen Zweck modifiziert, oder 
transitiv anhand des angemeldeten Benutzers) und/oder 

• biometrisch und/oder 

• aus einem Hardware Token und/oder 

• von einem Schlusselserver. 

Durch Abgleich mit vorgegebenen Profilen konnen Schlussel 300 temporar oder 
permanent modifiziert werden. Beispielsweise kann der in einem verloren 
gegangenen Token gespeicherte Schlussel 300 durch seinen individuellen Anteil 
302 identifiziert und permanent deaktiviert werden. 

Durch eine Zeitsteuerung kann eine weitere Differenzierung vorgenommen und 
bestimmte Funktionen auf Zeiten entsprechend eines vorgebbaren Zeitraumes 
begrenzt werden, d.h. hinsichtlich einer maximalen Nutzungsdauer und/oder 
hinsichtlich zugelassener Zugriffszeiten. 
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Alternativ zu der Darstellung nach Figur 10 kann der Schlussel 300 einen 
Domanenanteil 301 aufweisen, wobei der individuelle Anteil 302 und/oder die 
Funktion 303 die Lange Null aufweisen. 

Das Vorliegen eines Berechtigungsschlussels erlaubt einem Anwender, die 
Verschlusselung 105 auSer Kraft zu setzen. Passender Schlussel vorausgesetzt, 
werden bereits verschlusselte Dateien weiterhin entschlusselt, Aktualisierungen 
erfolgen verschlusselt, aber neu angelegte Dateien werden optional nicht 
verschlusselt. In Abhangigkeit von der administrativen Konfiguration sind ggf. 
weitere Bedingungen zu erfullen, wie beispielsweise komplementarer Schlussel, 
bestimmter Rechner, Datum/Wochentag/Zeit, etc. 

Das Ver-/Entschlusselungsmodul 105 ist im Kommunikationspfad zwischen dem 
Treiber fur das Dateisystem 103 b und dem jeweiligen Treiber fur den 
betreffenden Datentrager 104 angeordnet. Es sorgt fur die Ver- und 
Entschlusselung gemad der implementierten Strategie und transformiert alle 
notwendigen Parameter und Resultate in der Kommunikation so, dass der zu 
Grunde liegende Datentrager, obgleich ganz oder in Teilen verschlusselt oder 
anderweitig modifiziert, fur das Dateisystem 103 korrekt gemaS seiner 
Spezifikation erscheint. Es erstellt on-the-fly (transparent) quasi einen virtuellen 
Datentrager und substituiert damit den realen Datentrager 104. Innerhalb einer 
Sicherheitsdomane 10 ist die Anwendung des Verfahrens nicht zu bemerken. 

Als Verschlusselungsalgorithmus kann vorteilhaft der Rijndael-Algorithmus AES 
angewendet werden. Eine signifikante Erhohung der Sicherheit ergibt sich durch 
die Verwendung einer Kombination aus einem ersten kryptografischen 
Algorithmus 401, beispielsweise des Rijndael-Algorithmus AES, mit einem 
zweiten, nachfolgenden kryptografischen Algorithmus 402. Die Sicherheit erhoht 
sich damit wesentlich, da als Eingangswert fur den nachfolgenden Algorithmus 
bereits randomisierte Daten dienen. Damit potenziert sich der Aufwand fur die 
statistische Kryptoanalyse. 
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Die Positionierung der Ver- bzw. EntschlQsselung an der vorgesehenen Stelle 
vor bzw. nach samtlicher Verarbeitung durch den Dateisystemtreiber bietet 
weitere Vorteile: 

• Die VerschlOsselung erzeugt Daten, die eine nachfolgende 
Datenkompression nicht mehr zulassen. Eine vorausgehende 
Datenkompression durch den Dateisystemtreiber (z.B. NTFS) bleibt davon 
unberuhrt. 

• Metadaten wie z.B. das Verzeichnis der belegten/freien Blocke bleiben -je 
nach Strategie - fur alle Oder zumindest fur Rechner die mit dem 
vorgeschlagenen Verfahren arbeitet unverschlOsselt. Damit bleiben alle 
Diagnose- und Reparaturmoglichkeiten erhalten. 

• Die Blockstruktur der Datentrager korreliert mit der Datenstruktur der 
starkeren, blockorientierten kryptografischen Verfahren. 

• Die voile Kompatibilitat zu Memory Mapped Files bleibt gewahrt. MMFs 
steiien eine sehr effiziente Methode fur den Dateizugriff dar. Im virtuellen 
Adressraum eines Prozesses wird in einem Bereich eine Datei (ganz oder 
in Teilen) eingeblendet. Beim Zugriff auf eine Adresse dieses Bereichs 
wird ein Seitenfehler ausgelOst und dieser entsprechende Bereich mit 
Arbeitsspeicher hinterlegt, der mit Bldcken aus der Datei gefullt wird. Im 
Falle einer Veranderung werden veranderte Blocke entweder unmittelbar 
nach expliziter Anforderung oder zeitverzogert automatisch wieder in die 
Datei zuruckgeschrieben. 

• Die Beeintrachtigung der Systemleistung wird minimiert. Die Ver- und 
Entschlusselung findet nahezu ausschlieRlich zu den Zeiten statt wo 
ansonsten ungenutzte Prozessorzeit zur Verfugung steht (Warten auf I/O) 
von Datentragern. 

Weiterhin implementiert das Ver-/Entschlusselungsmodul die gewunschte 
Strategie. Es bestehen die MOglichkeiten der VerschlOsselung des Datentragers 
in toto, d.h. jeder Block wird verschlusselt oder der VerschlOsselung alter Dateien 
oder der VerschlOsselung einiger Dateien. 
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Anspruche 

1 . Verfahren zur Verhinderung des Verlustes der Vertraulichkeit der in einem 

Computersystem (11, 12, 13) etektronisch gespeicherten Daten, wobei die Daten 
insbesondere mittels eines Dateisystems (103) verwaltet werden und/oder eine 
Einteilung in Blocke erfolgt, insbesondere bei Verwendung wechselbarer 
und/oder austauschbarer Datentrager und/oder Speichermedien (104), wobei an 
das Computersystem (11, 12, 13) insbesondere Peripheriegerate anschliefcbar 
sind, gekennzeichnet durch die Schritte: 

• Analyse des Protokolls und des Datenstromes (130, 131) von und zu 
Datentragern und/oder Speichermedien (104) und/oder Peripheriegeraten; 

• Bildung einer Klassifikation, insbesondere zur Unterscheidung zwischen nicht 
wechselbaren sowie wechselbaren Datentragern und/oder Speichermedien 
(104); 

• Festlegung in Abhangigkeit der getroffenen Klassifikation, ob eine 
Verschlusselung der elektronisch gespeicherten Daten zur Verhinderung des 
Verlustes der Vertraulichkeit der Daten erforderlich ist und in Abhangigkeit 
dieser Festlegung gegebenenfalls 

• Erganzen des Dateisystems auf einem wechselbaren Datentrager und/oder 
einem wechselbaren Speichermedium (104) um eine kryptografische 
Verschlusselung (601, 602, 603) und/oder Durchfuhrung einer 
kryptografischen Verschlusselung aller Oder einiger Blocke des wechselbaren 
DatentrSgers und/oder des wechselbaren Speichermediums (104). 

2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass festlegbar ist, 
dass eine Verschlusselung (105) aller Blocke des Datentragers / 
Speichermediums (104) oder dass eine Verschlusselung (105) aller Dateien (50) 
vor der Speicherung auf dem Datentrager / Speichermedium (104) oder dass eine 
Verschlusselung (105) einiger Dateien (50) vor der Speicherung auf dem 
Datentrager / Speichermedium (104) erfolgt. 
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3. Verfahren nach Anspruch 1 oder2, dadurch gekennzeichnet, dass jedes 
Dateisystem (103) auf nicht wechselbaren und/oder nicht austauschbaren 
Datentragern und/oder Speichermedien (104) urn eine kryptografische 
Verschlusselung erganzt wird. 

4. Verfahren nach einem der vorherigen Anspruche, dadurch gekennzeichnet, 
dass die kryptografische Verschlusselung (105) bei Vorliegen besonderer 
Merkmale temporar auRer Kraft gesetzt wird. 

5. Verfahren nach einem der vorherigen Anspruche, dadurch gekennzeichnet, 
dass bei Verwendung eines Datentragers und/oder eines Speichermediums (104) 
ohne Dateisystem eine Verschlusselung aller Blocke erfolgt oder ein Zugriff 
unterbunden wird. 

6. Verfahren nach einem der vorherigen Anspruche, dadurch gekennzeichnet, 
dass eine Verschlusselung (105) bei Verwendung wechselbarer Datentrager 
und/oder wechselbarer Speichermedien (104), insbesondere Disketten, Memory- 
Sticks, CD-RW, DVD-RW und dergleichen, erfolgt. 

7. Verfahren nach einem der vorherigen Anspruche, dadurch gekennzeichnet, 
dass eine Verschlusselung (105) bei Verwendung nicht wechselbarer Datentrager 
und/oder nicht wechselbarer Speichermedien (104) und/oder netzwerkbasierten 
Datentragern und/oder netzwerkbasierten Speichermedien (104) erfolgt. 

8. Verfahren nach einem der vorherigen Anspruche, dadurch gekennzeichnet, 
dass bei Anschluss eines Datentragers und/oder Speichermediums (104) an eine 
multifunktionale Schnittstelle und/oder einen multifunktionalen Bus, insbesondere 
Steckplatz, USB-Port und dergleichen, die Schnittstellen- und/oder Bus- 
Funktionalitat erhalten bleibt und nur derartige Datenstrome (130, 131) zumindest 
teilweise einer Verschlusselung (105) unterworfen werden, die zur Abspeicherung 
der Daten an die Schnittstelle und/oder den Bus weitergeleitet werden. 
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9. Verfahren nach einem der vorherigen Anspruche, dadurch gekennzeichnet, 
dass eine Analyse der Schnittstelle und/oder des Busses erfolgt, an die/den ein 
Datenstrom (130, 131) erfolgen soil, und diese bei der Bildung der Klassifikation 
anhand festlegbarer Kriterien berucksichtigt wird, insbesondere hinsichtlich der 
physikalischen Verbindung und/oder der Gerateeigenschaften. 

10. Verfahren nach einem der vorherigen Anspruche, dadurch gekennzeichnet, 
dass kryptografische Methoden zur Verschlusselung, insbesondere der Rijndael- 
Algorithmus, angewendet werden. 

11. Verfahren nach einem der vorherigen Anspruche, dadurch gekennzeichnet, 
dass die Verschlusselung in mehreren Stufen erfolgt, insbesondere dass nach 
Anwendung einer ersten kryptografischen Methode die hierdurch verschlusselten 
Daten mittels einer zweiten kryptografischen Methode nochmals verschlusselt 
werden. 

12. Verfahren nach einem der vorherigen Anspruche, dadurch gekennzeichnet, 
dass bei einem Lesevorgang von einem zumindest teilweise verschlusselten 
Datentrager und/oder Speichermedium (104) eine Entschlusselung der Daten 
erfolgt. 

13. Verfahren nach einem der vorherigen Anspruche, dadurch gekennzeichnet, 
dass unter Verwendung einer Hardware mit eingebundenem Schlussel und/oder 
unter Verwendung eines Kennwortes und/oder durch Erkennung und 
Uberprufung biometrischer Daten eines Benutzers eine Verschlusselung (105) 
von Daten unterbindbar ist. 

14. Verfahren nach Anspruch 13, dadurch gekennzeichnet, dass die 
Verschlusselung (105) nurzu festlegbaren Zeiten unterbindbar ist. 

15. Verfahren nach einem der vorherigen Anspruche, dadurch gekennzeichnet, 
dass zur Verschlusselung (105) Schlussel (300) Verwendung finden, die durch 
Zusammensetzung verschiedener Anteile (301, 302, 303) gebildet sind, wobei 
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insbesondere mehrere Computersysieme (n, 12, 13) zu Gruppen (10) 
zusammengefasst werden, wobei die Schlussel (300) einer Gruppe (10) von 
Computersystemen (11, 12, 13) einen ubereinstimmenden Anteil (301) sowie 
jeweils einen individuellen Anteil (302) aufweisen. 

16. Verfahren nach einem der vorherigen Anspruche, dadurch gekennzeichnet, 
dass der zur Ver- und Entschlusselung (105) anzuwendende Schlussel (300) 
festlegbar ist und/oder in einer Datenbank abrufbar gespeichert ist und/oder in 
einer Hardware eingebunden ist und/oder aus biometrischen Daten eines 
Benutzers unter Verwendung eines Algorithmus ermittelt wird. 

17. Verfahren nach einem der vorherigen Anspruche, dadurch gekennzeichnet, 
dass mittels des Computersystems (11, 12, 13) durchgefuhrte Aktionen wie 
Abspeichern und/oder Einlesen von Daten protokolliert werden. 

18. Verfahren nach einem der vorherigen Anspruche, dadurch gekennzeichnet, 
dass das Computersystem (11, 12, 13) ein Betriebssystem aufweist, das 
zumindest zwischen einem Kernel Mode (100) und einem User Mode (200) 
unterscheidet, wobei das Verfahren zumindest teilweise im Kernel Mode (100) 
implementiert ist. 

19. Verfahren nach einem der vorherigen Anspruche, dadurch gekennzeichnet, 
dass ein logischer Zusammenschluss mehrerer Computersysteme (11, 12, 13) zu 
einer Gruppe (10) erfolgt, wobei innerhalb der Gruppe (10) die kryptografische 
Verschlusselung (105) wechselseitig aufgehoben wird, wobei die kryptografische 
Verschlusselung (105) nach auBen hin aufrecht erhalten wird. 

20. Verfahren nach einem der vorherigen Anspruche, dadurch gekennzeichnet, 
dass bei Zugriff auf einen Datentrager und/oder Spreichermedium (104) eine 
Prufung erfolgt, ob eine Verschlusselung (105) aller Blocke des Datentragers / 
Speichermediums (104) Oder eine Verschlusselung (105) aller Dateien (50) auf 
dem Datentrager / Speichermedium (104) oder eine Verschlusselung (105) 
einiger Dateien (50) vorliegt, und dass eine Entschlusselung der angeforderten 
Daten erfolgt. 
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Weitere Verdffentlichungen sind der Fortsetzung von Feld C zu 
entnehmen 
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° Besondere Kategorien von angegebenen Veroffentlichungen 

•A" Veroffentlichung, die den allgemeinen Stand derTechnikdefiniert, 
aber nicht als besonders bedeutsam anzusehen ist 

"E" alteres Dokument, das jedoch erst am Oder nach dem internationalen 
Anmeldedatum veroffentlicht worden ist 

"L" Veroffentlichung, die geeignet ist, einen Prioritatsanspruch zweifelhaft er- 
scheinen zu lassen, oder durch die das Veroffentlichungsdatum einer 
anderen im Recherchenbericht genannten Veroffentlichung belegt werden 
soil oder die aus einem anderen besonderen Grund angegeben ist (wie 
ausgefuhrt) 

'O' Veroffentlichung, die sich auf eine mundliche Offenbarung, 

eine Benutzung, eine Ausstellung oder andere MaBnahmen bezieht 

■P" Veroffentlichung, die vor dem internationalen Anmeldedatum, aber nach 
dem beanspruchten Prioritatsdatum veroffentlicht worden Ist 



Spatere Veroffentlichung, die nach dem internationalen Anmeldedatum 
oder dem Prioritatsdatum veroffentlicht worden ist und mit der 
Anmeldung nicht kollidiert, sondern nur zum Verstandnis des der 
Erfindung zugrundeliegenden Prinzips oder der ihr zugrundeliegenden 
Theorie angegeben ist 
•X' Veroffentlichung von besonderer Bedeutung; die beanspruchte Erfindung 
kann allein aufgrund dieser Veroffentlichung nicht als neu oder auf 
erfinderischer Tatigkeit beruhend betrachtet werden 

*Y" Veroffentlichung von besonderer Bedeutung; die beanspruchte Erfindung 
kann nicht als auf erfinderischer Tatigkeit beruhend betrachtet 
werden, wenn die Veroffentlichung mit eineroder mehreren anderen 
Veroffentlichungen dieser Kategorie in Verbindung gebracht wird und 
diese Verbindung fur einen Fachmann naheliegend ist 
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